Sidegenskaper | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
Sidegenskaper
id | Huvud2 |
---|
Förvaltningsobjekt
Arbetsgrupper
Deltagare
Redaktörer
AS-97
Anders Svensson (Unlicensed) Patrik Östman Pia Eriksson (Unlicensed) Robert Kielen (Unlicensed) (Koordinator: Peter Mannerhagen )
Medverkande | ||||||||
---|---|---|---|---|---|---|---|---|
|
Innehållsförteckning |
---|
...
Hot-, risk- och sårbarhetsanalyser utgör grunden för informationssäkerhetsarbetet. Hot och sårbarheter är något som alla organisationer måste analysera för att förstå riskerna som informationstillgångarna utsätts för.
Hot är ett element i /wiki/spaces/AIA/pages/181698783 metamodell säkerhet och vi beskriver nedan hur vi har valt att ta oss an utmaningen med att presentera en hotkatalog. Det är arbetsgruppens övertygelse att en hotkatalog behöver tas fram för respektive organisation och kommer att behöva uppdateras kontinuerligt. Huvudsyftet med sidan och dess undersidor är således att ge en ögonblicksbild över hotaktörer, risk, hot, attackmetoder, exempel m.m. för att bidra till medvetenhet och som stöd för ert arbete med hot-, risk- och sårbarhetsanalyser.
...
Informationssäkerhetshändelse | Sårbarhet | Sannolikhet | Konsekvens | Informationstillgång | |||||
---|---|---|---|---|---|---|---|---|---|
[1] Otillräcklig identifiering och autentisering av användare. | Insider | Obehörig tillgång till applikationer eller system | Socialingenjörskonst | Avslöjande av känslig data | Mycket stor (4) | Allvarlig (4) | Hög (16) | Ex. personuppgift | organisatorisk: Det finns övergripande processer och arbetssätt för att skydda information tex vid överföring. |
[2] Phishingattacken leder till att offrets e-postadress, kontouppgifter, social medier-konton används för att sprida phisingmeddelanden till personens kontakter. Detta kan leda till att fler blir offer. | Cyberkriminell | Stöld av tillgångar eller identitet | Phishing | Okunskap, ofiltrerad e-post, | Stor (3) | Allvarlig (4) | Hög (12) | Ex. kontouppgifter, sociala-medier konton, e-postadress | personal: Medvetenhöjande säkerhetsutbildning, |
[3] Om personal avslöjar sina användaruppgifter på en Internet-site kan detta leda till att kontot tas över eller att personlig information stjäls. | Cyberkriminell | Utlämnande av information | (ATT&CK Taktik Initial access ) Phishing | Okunskap | Stor (4) | Allvarlig (3) | Hög (12) | Ex. användaruppgifter såsom kontouppgifter och lösenord | personal: (ATT&CK Mitigation) User Training CIS Control 14 Security Awareness and Skills Training |
[4] Skadlig kod kommer in i offrets dator eller mobila enhet, via e-post. Den skadliga koden kan senare användas för att stjäla personlig information eller utföra skadliga aktiviteter. | Cyberkriminell | Distribuera eller skicka skadlig programvara | (ATT&CK Taktik Initial access) Phishing | ofiltrerad e-post innehållande skadligt attachment | Stor (3) | Allvarlig (4) | Hög (12) | Ex. personlig information såsom användarnamn och lösenord. | teknisk: (ATT&CK Mitigation) Software configuration |
...